Creare copie anonimizzate dei dati archiviati in Cloud Storage utilizzando la console Google Cloud

Questa pagina descrive come ispezionare una directory Cloud Storage e creare copie anonimizzate dei file supportati utilizzando Sensitive Data Protection nella console Google Cloud.

Questa operazione contribuisce ad assicurare che i file utilizzati nelle tue procedure aziendali non contengano dati sensibili, come le informazioni che consentono l'identificazione personale (PII). Sensitive Data Protection può esaminare i dati sensibili dei file in un bucket Cloud Storage e creare copie anonimizzate di questi file in un bucket separato. Puoi quindi utilizzare le copie anonimizzate nei tuoi processi aziendali.

Per ulteriori informazioni su cosa succede quando anonimizzi i dati archiviati, consulta Anonimizzazione dei dati sensibili archiviati.

Prima di iniziare

Questa pagina presuppone quanto segue:

Scopri le limitazioni e i punti di attenzione per questa operazione.

L'ispezione dello spazio di archiviazione richiede il seguente ambito OAuth: https://www.googleapis.com/auth/cloud-platform. Per ulteriori informazioni, consulta Autenticazione nell'API DLP.

Ruoli IAM obbligatori

Se tutte le risorse per questa operazione si trovano nello stesso progetto, il ruolo Agente di servizio dell'API DLP (roles/dlp.serviceAgent) sull'agente di servizio è sufficiente. che ti consente di:

  • Crea il job di ispezione
  • Leggere i file nella directory di input
  • Scrivere i file anonimizzati nella directory di output
  • Scrivi i dettagli della trasformazione in una tabella BigQuery

Le risorse pertinenti includono il job di ispezione, i modelli di anonimizzazione, il bucket di input, il bucket di output e la tabella dei dettagli della trasformazione.

Se devi avere le risorse in progetti separati, assicurati che l'agente di servizio del tuo progetto abbia anche i seguenti ruoli:

  • Il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer) sul bucket di input o sul progetto che lo contiene.
  • Il ruolo Creatore oggetti archiviazione (roles/storage.objectCreator) per il bucket di output o per il progetto che lo contiene.
  • Il ruolo Editor dati BigQuery (roles/bigquery.dataEditor) nella tabella dei dettagli di trasformazione o nel progetto che la contiene.

Per concedere un ruolo all'account di servizio, vedi Concedere un singolo ruolo. Puoi anche controllare l'accesso ai seguenti livelli:

Panoramica

Per creare copie anonimizzate dei tuoi file Cloud Storage, configura un job di ispezione che cerchi i dati sensibili in base ai criteri specificati. Poi, all'interno del job di ispezione, attiva l'azione Crea una copia anonimizzata. Puoi impostare modelli di anonimizzazione che indicano in che modo Sensitive Data Protection deve trasformare i risultati. Se non fornisci alcun modello di anonimizzazione, Sensitive Data Protection trasforma i risultati come descritto in Comportamento predefinito di anonimizzazione.

Se attivi l'azione Crea una copia anonimizzata, per impostazione predefinita, Sensitive Data Protection trasforma tutti i tipi di file supportati inclusi nella scansione. Tuttavia, puoi configurare il job in modo che trasformi solo un sottoinsieme dei tipi di file supportati.

(Facoltativo) Crea modelli di anonimizzazione

Se vuoi controllare la modalità di trasformazione dei risultati, crea i seguenti modelli. Questi modelli forniscono istruzioni sulla trasformazione dei risultati in file strutturati, file non strutturati e immagini.

  • Modello di anonimizzazione:un modello di anonimizzazione predefinito da utilizzare per i file non strutturati, come i file di testo in formato libero. Questo tipo di modello di anonimizzazione non può contenere trasformazioni dei record, che sono supportate solo per i contenuti strutturati. Se questo modello non è presente, Sensitive Data Protection utilizza il metodo di sostituzione di infoType per trasformare i file non strutturati.

  • Modello di anonimizzazione strutturato:un modello di anonimizzazione da utilizzare per i file strutturati, come i file CSV. Questo modello di anonimizzazione puoi contenere trasformazioni dei record. Se questo modello non è presente, Sensitive Data Protection utilizza il modello di anonimizzazione predefinito che hai creato. Se anche questo non è presente, Sensitive Data Protection utilizza il metodo di sostituzione di infoType per trasformare i file strutturati.

  • Modello di oscuramento delle immagini:un modello di anonimizzazione da utilizzare per le immagini. Se questo modello non è presente, la funzionalità Protezione dei dati sensibili oscura tutti i risultati nelle immagini con una casella nera.

Scopri come creare un modello di anonimizzazione.

Crea un job di ispezione con un'azione di anonimizzazione

  1. Nella console Google Cloud, vai alla pagina Crea job o trigger.

    Vai a Crea job o trigger di job

  2. Inserisci le informazioni sul job Sensitive Data Protection e fai clic su Continua per completare ogni passaggio.

Le sezioni seguenti descrivono come compilare le sezioni pertinenti della pagina.

Scegli dati di input

Nella sezione Scegli i dati di input, segui questi passaggi:

  1. (Facoltativo) In Nome, inserisci un identificatore per il job di ispezione.
  2. Per Posizione della risorsa, seleziona Globale o la regione in cui vuoi memorizzare il job di ispezione.
  3. Per Posizione, seleziona Google Cloud Storage.
  4. In URL, inserisci il percorso della directory di input. La directory di input contiene i dati da analizzare, ad esempio gs://input-bucket/folder1/folder1a. Se vuoi eseguire la scansione della directory di input in modo ricorsivo, aggiungi una barra finale all'URL e seleziona Esegui scansione ricorsiva.
  5. Nella sezione Campionamento, nell'elenco Metodo di campionamento, seleziona Nessun campionamento.

    Il campionamento non è supportato per i job e gli attivatori di job configurati con la disidentificazione.

Configura il rilevamento

Nella sezione Configura il rilevamento, scegli i tipi di dati sensibili da esaminare. Questi sono chiamati infoTypes. Puoi scegliere dall'elenco di infoType predefiniti oppure selezionare un modello, se esistente. Per maggiori dettagli, consulta Configurare il rilevamento.

Aggiungi azioni

Nella sezione Aggiungi azioni:

  1. Attiva Crea una copia anonimizzata.
  2. (Facoltativo) Per Modello di anonimizzazione, inserisci il nome completo della risorsa del modello di anonimizzazione predefinito se ne hai creato uno.
  3. (Facoltativo) Per Modello di anonimizzazione strutturato, inserisci il nome della risorsa completa del modello di anonimizzazione per i file strutturati, se ne hai creato uno. In caso contrario, Sensitive Data Protection utilizza il modello predefinito se ne hai creato uno.
  4. (Facoltativo) Per Modello di oscuramento delle immagini, inserisci il nome completo della risorsa del modello di oscuramento delle immagini per le immagini, se ne hai creato uno.
  5. (Facoltativo) Se vuoi che la Protezione dei dati sensibili archivi i dettagli della trasformazione in una tabella BigQuery, seleziona Esporta i dettagli sulla trasformazione in BigQuery, quindi compila quanto segue:

    • ID progetto: il progetto contenente la tabella BigQuery.
    • ID set di dati: il set di dati contenente la tabella BigQuery.
    • ID tabella: la tabella in cui Sensitive Data Protection deve memorizzare i dettagli di ogni trasformazione. Sensitive Data Protection crea questa tabella con l'ID tabella che fornisci. Se non fornisci un ID tabella, il sistema ne crea automaticamente uno.

    Questa tabella non memorizza i contenuti anonimizzati effettivi.

    Quando i dati vengono scritti in una tabella BigQuery, la fatturazione e l'utilizzo delle quote vengono applicati al progetto che contiene la tabella di destinazione.

  6. In Posizione di output di Cloud Storage, inserisci l'URL della directory Cloud Storage in cui vuoi archiviare i file anonimizzati. Questa directory non deve trovarsi nello stesso bucket Cloud Storage della directory di input.

  7. (Facoltativo) Per Tipi di file, seleziona i tipi di file da trasformare.

Per ulteriori informazioni sulle altre azioni che puoi aggiungere, consulta Aggiungere azioni.

Pianificazione

Nella sezione Pianificazione, specifica se vuoi impostare questo job come job ricorrente:

  • Per eseguire la scansione una sola volta, mantieni il campo impostato su Nessuna.
  • Per pianificare l'esecuzione periodica delle analisi, fai clic su Crea un trigger per eseguire il job su base periodica.

Per ulteriori informazioni, consulta la sezione Pianificazione.

Rivedi

  1. Nella sezione Pianificazione, esamina la configurazione del job e, se necessario, modificalo.

  2. Fai clic su Crea.

Se hai scelto di non pianificare il job, Sensitive Data Protection lo avvia immediatamente. Al termine del job, il sistema ti reindirizza alla pagina Dettagli job, dove puoi visualizzare i risultati delle operazioni di ispezione e anonimizzazione.

Se hai scelto di esportare i dettagli della trasformazione in una tabella BigQuery, la tabella viene compilata. Contiene una riga per ogni trasformazione eseguita da Sensitive Data Protection. Per ogni trasformazione, i dettagli includono una descrizione, un codice di successo o di errore, eventuali dettagli dell'errore, il numero di byte trasformati, la posizione dei contenuti trasformati e il nome del job di ispezione in cui la Protezione dei dati sensibili ha eseguito la trasformazione. Questa tabella non contiene i contenuti anonimizzati effettivi.

Verificare che i file siano stati anonimizzati

  1. Nella pagina Dettagli job, fai clic sulla scheda Configurazione.
  2. Per visualizzare i file anonimizzati nella directory di output, fai clic sul link nel campo Bucket di output per i dati anonimizzati di Cloud Storage.
  3. Per visualizzare la tabella BigQuery contenente i dettagli della trasformazione, fai clic sul link nel campo Dettagli trasformazione.

    Per informazioni su come eseguire query su una tabella BigQuery, consulta Eseguire query interattive.

Passaggi successivi